me'^pq/rrp 17JUN2005 
p / 539560 

■r/FR 0 3/ 03 8 77 



■ iNSTirur 

NATIONAL OE 
W PROPRIETB 
INDUSTRIELLE 



BREVET D'lNVEflT^N 



CERTIFICAT D'UTILITE - CERTIFICAT D'ADDITIOIM 



COPIE OFFICIELLE 

Le Directeur general de I'Institut national de la propriety 
industrielle certifie que le document ci-annex^ est la copie 
certlflee conforme d'une demande de titre de propriete 
industrielle deposee ^ I'Institut. 



Fait d Paris, le . 



JSFEV. 2004 



tiMENT DE PRIORITY 
SENEfe OU TRANSMIS 

inform6ment a la 

iiGLE17.1.a)OUb) 



1102 



Pour le D recteur gdniral de I'Institut 
■ ^S""?* la ProprtetA Industrielle 
Le Chef du Mpartement des brevets 




Martine PUNCHE 



iNSTirar 

NATIONAL OE 
lA PROPRIETE 
INDUSTRIELLE 




SIEQE 

28 Us, nn de Saw Paianbouic 
7S8W PARIS cadtti 08 
KUplnne : 33 (0)1 S3 04 S3 04 
Tilfoiple : 33 (0)1 S3 04 45 23 
www.lnpl.fr 



BEST AVAILABLE 



^ 




im 



BREVET D'iNlMfiBTBON 



MMHOB lifStmir 

IHDOBTRULLe 

26 bis. roe de Saint Pdtersbourg 
758C0 Paris Cedex 08 

T^i^phone : 33 (1) 53 04 53 04 imcopte : 33 (1) 42 94 86 54 



iRdseivddriNPlf 



REMISE 01 
DATE 'i 

UEU 



t^tsEC 2002 
76 INPI PARIS 

0216652. 



fTO'ENREGISTOEMENT 
PWJIQNAL ArnilBlJ£ PAR L'INPI 

DATE DE O^PdT ATTRIBUTE 
PARLINPI 



2 H P£C, 20® 



Vos r^fSrences pour ce dossier 

(facultatif) 10B610 12FR001/LCt:< 



CERTIFICAT O'lfnCITE 

Code de (a propriSt^ intellectuelle > Livre VI 

REQUITE EN DtLfVRANCE 
page 1/3 

Cet tmprim6 est a rempKr iislbtement h Tencre noire 



H* 11354*03 



OB «0 o 9 / 210502 



a NOM ET ADRESSE DU DEMANDEUR OU DU MANDATAIRE 
A QUI LA CORRESPONDANCE DOIT &rRE ADRESSfe 

. BOUJU DERAMBURE BUGNION 
52 rue de Mbhceau 

75008 PARIS 



Confinnatiaii &m d!§pdt par t^Idcople 


□ N** attribu6 par TINPI k la t^lecopie 






Demande de brevet 




, Qemande de ceiUficat d'utilft6 




/ Demande divisionnaire 

Demande de bretfd initiale 
OU demande de cerlijscat d*utilit4 initiale 


N*' Date 1 I 1 1 1 I 1 . 1 
:i : ."^ Date 1 1 1 » 1 1 1 1 1 


Transformation d'Une demande de 
brevet europ^en Demande de breiiet initiale 


N° : ^ Date 1 i 1 : 1 1 . i 1 M 


lei TiTRE DE UiilVEWTiOW (200 caractdres on espacos tbaxhnpin) 

PrpcedS et dispositif de verificatioh.de Pintegrite d'une application loglcielle sans cle de chlf^eirnent/ddchifir^ment' • 

■ ■ '■: ' \ . ■■ ■ ■ :■: ■■ ■ - •■ •:: . ■■; ; ; I r-/ 1 ■ ! 

■ . . " • • • i ■ ' , . . ' '.'■:* .3 1- 


Q DI^CLARATION DE PRIORITY 
OU REQUetE DU BENEFICE DE 
LA DATE DE DI^POT D'UNE 
DEMANDE ANTERIEURE FRANQAiSE 


Pays ou organisation ; . * 
Date 1 { 1 1 1 1' 1 1 1 ■ N** . 

Pays ou organisation 

Date 1 { 1 I 1 } 1 1 1 N« 

Pays ou organisation 

Date 1 . 1 1 1 • 1 t 1 

0 S'll y a d'autres prlorft^s, cochez ia case et utilisez Pimpiim^ uSuftes) 






Nom 

OU d^nonnination sociale 


BANGUI 


Prenoms 


Frahgols / .' , • '. . ■ • 


Forme juridique 




N*» SIREN 


"1. ■,.i..J.,.i i„„' „l 


Code APE-NAF 




Domicile 
ou 

si^ge 


Rue 


69 rue Dunols 


Code postal etvilte 


|7,5i0.1 r3| PARIS 


Pays 


FRANCE 


Nationalite 




Frangaise 


N*» de telephone (factdtalif) 


N'* de t^lecopie (facultatif) 


Adresse 6lectronlque (factdtaiif) 









Remolir lmD6rativflnnen^ la 9u 



1erdep6t 



INPI 



BREVET DlWENTiON 
CERTIFICAT D*UTILITg 

REQUgTE EN DgLIVRANCE 
page 2^ 



i 



REfAlSEDES P(£CES 

24 Dec 2002 
"Eu 75 INPI PARIS 



N* D'ENREGISTREMENT 
WitlONALATTOBUe PAR CIKPI 



0216652 



OB 540 W/ 2 



Norn 
Pr^nom 



Cabinet ou Sodet§ 



BOUJU DERAMBURE BUGNINO 



N "^de pouvoir permanent el/ou 
de Ken contractue) 



Adresse 



Rue 



52 rue de Monceau 



Code postal et wile 
Pays 



17 ^ lO lO tft I PARIS 



FRANCE 



de telephone (fiaiUan jQ 
N*" detSf^copie (fiicfjlla0^ 



01 45 61 51 00 



Adresse 6lectrontque (faculmj) 



01 45 61 96 30 




Pafement ^chelonn^ de la redevance 
{miieaxpenemcfrnj 



□ Ou^"**** personnes pt^slcpies eflectuant elfe&«t€mes !eur propre d^pot 

□ Non 



REDUCTION DU TAUX 
DES REDEVANCES 



Uniquentent pour les personnes physiques 

□ Requise pour la premiere fols pour cette invention aos^^^rermaafs^iena/i'ffff/mUionJ 

□ Obtenue anterieurement h ce d6p6t pour cette invention Ooft^^re i^e cop/e fa 

^Mfeoa if2di^uersar0mfcej: AG j 



^ i \ i \ 



ISI SI^QUENCES DE NUCLEOTIDES 
ET/OU D'ACIDES AMINES 



□ Cochez la case si la description conttent une llste de sequences 



Le support ^lectronique de donn^es est joint 

La declaration de conformity de la liste de 
s^uences sur support papier avec le 
support diectronrque de donndes est jointe 



□ 
□ 



SI vous avez ufllis€ rimprfmS «Sufte», 
indlquez le nombre de pages jolntes 



EB SIGNATURE DU DEWIANDEUR 
OU DU MANDATAIRE 
(Nom et quality du signataire) 
Le Mandataire 
Olivier NICOLLE 
92 ^ 3040 



La loi nVS-l? du 6 jam/ier 1978 refative h rinformatique. aux fichlers et aux tibert6s s'applique aiS 
tiie garantrt un droit d'acc^s et de rectification pour les donnees vous concemant auprfes de I'INPI 




l^Pl 



BREVEl^NVENTION 



mottsmitiiB 

26 bis. rue de Saint Pdtersbourg 
75800 Paris Cedex 08 

T«6plwne : 33 (1) 53 04 53 04 TO6copfe : 33 (1) 42 94 86 54 



4R6serv6 6nNPIh 



CERTIFlOirD'UTILITfe 

Code de ta propri4t6 Intellectueile - Uvre VI 

REQUiTE EN D^UVRANCE 

Page suite N* ? . . . . 



ir 11354*03 




REMISE D@ PI] 
DATE 



2002 
uEu 75 INPI PARIS 

N° D'ENREQSTREMENT 0216652 
NAnONAL mraBUfe par LIHPI 



CetimprimeestSrernplirlislblementd Pencre noire oaa^^w/oirooz 



Vos r^f^rences pour ce dossier \faculiaiij\ 


10B610 12FR001/LCH. r ;: 


El DECLARATION DE PRIORflt 
OU REQUITE DU B^N^FICE DE 
LA DATE DE D^POT D'UNE 
DEMANDE ANTtRIEURE FRAflQAISE 


Psys OU organisation- • h /'. . 

i 1 1 ! 1 1 1 1 1 N» <\ • 
Pays OU organisation ' • ' . 
na^c \ I \ \ '\ i 1 ) 1 N*» 
Pays ou organisation 

Date III 1 1 I 1 1 1 N*» 






. OU denomination sodale . 


GONTIER 


'Pr6noms 


WiHIam 


FoHTie juridique 




SIREN 


1 1 1 I-."! 1 i -l' 1 1 


-■ CodeAPE-NAF 


1 1 1 'i'i^' - . . ■ V :,• W 


, Domicile 
\ oii 
] si^ge 

>. ^ . 


Rue 


83rue'de:Mant6S ;'. • % 

' V"*-": - ' ■ i' • ; • . = :^ " \) 


Code postal etville ■ ^ ^. 


'l7(7!i2lS.lfl,l Mn-RYMORY- ii: ' i: 


Pfrys 


•FRANCE- . - ' ' : A L 


Nationality 


Frangaise ' . ! - • : ^ S" ' , v' 


N" de t6l6phone Ifacultatifi' 


• . • ■ ; i. ' ' c • . • * ■■ 


de t6lecopie IfacultatiJ] 




' Adresse 6!ectronique . . 








Norn 

OU denomination soclate ' 




Prenoms 




Fomne Juridique 




N** SIREN 


1 1 i JL L I 1 1 1 1 • 


Code APE-NAF 


1 1 1 « 1 


Domicile 
ou 

sidge 


Rue • ! ' 




Code postal etville" ' 




Pays 




Nationality 




de telephone {faculMifi 




N** de tei6copie {facultatij] 


— — ^-^^-T 


Adresse yiectronique {facultaiij\ 





Le Mandataire 



SIGNATURE DU DEMANDEUR 
OU DU MANDATAIRE Olivier N I COLLE/ 

(Norn et quality du signataire) g2 . 3040 



La loi n*'78-17 du 6 janvier 1978 relative h I'informatique, aux fichiers et aux libertys s'apptfque aux r6i 
Elle garantit un droit d'acc^s et de rectification pour ies donnSes vous concernant aupr^s de i'lNPI 




FECTURE 
INPI 



tes d ce formulaire. 




La presente invention concerne la verification de I'authenticitd d'une application 
logicielle ex^cutee sur un temninal iidte sans necessairement faire appel a des 
cles de chiffrement/d§chifFrement. 

5 Ella trouve una application generale dans rauthentification d'applications 
logicielles at plus particullerement las applications logicielles dastineas a §tre 
exacutees sur un dispositif da traitemant da donn^as, notamnnant un tanninal 
hote tel qu'un dacodeur de television numerique, un equipement de 
visualisation de contenus multimedia, un micro-ordinateur, une carte a puce, 

10 un assistant personnel, une console de jeux, un telephone mobile ou analogue. 

On connaTt deja des moyens d'authentificatlon permettant de verifier 
I'authenticite ou rintegritS d'applications logicielles embarquees et executees 
sur des fermihiaux" K8"tes/ General^ de* tels ririoyehs d^authehtification 

15 mettent en oeuvre des fonctions de hachage et^ou des algorlthmes 
cryptographiques qui utilisent das donneas secretes talles que des cles privees 
ou secretes da chifframent/dachiffrement cachees dans la logicial da verification 
du terminal hote. La plus souvent, cas donneas secretes sont protegees par 
des techniques d'offuscation destlnees a rendre plus difficile la retro- 

20 conception. 

En pratique, de tels moyens d'authentification embarques dans les terminaux 
hStes sont tout aussi vulnerables que les applications logicielles dont Hs sont 
sens6s contrSler Tauthenticit^. En effet, un pirate averti peut op6rer des 
25 modifications malveillantes sur ces moyens d'authentification, afin, par 
exemple, de recup6rer les donn6es secretes, leurrer le systeme de v6rification 
ou lui faire produire, malgre lui, les resultats attendus. 

La presente invention remedie a cet inconvenient. 

30 



Elle porte sur un precede de verification de Tintegrite d'une application logicielle 
executable dans un terminal h6te. 



Selon une definition g6nerale de i'invention, le precede c»nnprend les etapes 
suivantes : 

i) detenniner au moins une suite d'instnjctions de contrSle fonmant certificat 
executable pour ladite application logicielle, 
5 11) sur le terminal h6te, efx^te^^^ S v6rifier, recevoir le 

certificat executable ainsi determine lors de I'etape i), et executor la suite 
d'lnstructions de controle dudit certificat executable dans le contexte m§moire 
dudit terminal hote, ' V ; 

Hi) comparer le resultat ainsi obtenu par Texecution des instructions de controle 

/lo avec le resultat attendu d'une application authentique et, 

iv) en cas de comparaison positive, continuer Texecutlon de {'application 
. logicielte S v6rifier. 
On entend ici par le terme « comparaison positive » le fait que toute actipni 
operation, ou mod'rficatton ^ur 1^ dbnnSes ulii^^^ par rapplication logicielle ii , 

15 , verifier ou toute action, opSratibn bu mbdification sur le d^roulement de . 
l'ex6cution de I'application logicielle a verifier produlse un comportemeiit de ■ 
rapplication logicielle a verifier identiquie 'i^ ;c6|^^ est attendu par;,Je j 
deroule.ment.d;e rex(§ciution de I'application authentlqu0L : ■ !. . ; 

20 En renouvelapt, a. Une cadehce chdisie, la suite d'instructions de contrdle du < 
certificat executable, il est possible de mettre eii oeuvre un nombre important de 
moyens d'authentification d'une application et il devient quasi impossible de 
mettre au point des applications logicielles pirates qui dejouent 
syst6matiquement leprocessus.de verification. 

25 •• ' . 

Ainsi, le procedS selon {'invention permet de verifier )'integiite d'unie application 
logicielle executee sur ' liri terminal p&ie B\t^c un degre de securisation 
relativemenf satisfalsant vis d vis des pirates adeptes de la retro-conception et 
cela sans faire apjDel a*^de,s::cl6s: devchiffrement/dechiffr ou d des 

30 composants materials coOteux. 



Selon une realisation, la suite d'instructions de controle est choisie de telle 
sorte que I'etat du contexte memoire d'une application logicielle authentique 




aprds rex6cution de ia suite d'instructions de contrdle est identique (sans 
modification) S I'^tat du contexte m6moire de {'application loglcielle avant 
{'execution de la suite d'lnstmctions de contrdle. 

Ainsi la mise en oeuvre du precede selon {'invention n'apporte pas de 
dysfonctionnement au niveau du derou{ement de {'app{ication loglcielle d verifier 
si cette derni§re est autlientique. 

Selon une r§a{isation, dans laqueHe le terminal hdte est ^quipe d'un 
processeur, la suite d'instructions de contrdle fomiant certiflcat executable est 
cod6e en langage interpr§table par ledit processeur du terminal h6te. 
En variante, dans laquelle le terminal h6te est ^quipe d'une machine, virtuelle 
apte d 6muler un processeur, la suite d'instructions de contrdle fonmant 
certificat executable est codee en langage interpr§table par la machine virtuelle 
du terminal hote. 

En pratique, le contexte m§moire d'ex§cution d'une application logicielle est 
constitue, entre autre, des adresses en memoire des symboles (fonctions, 
variables,...), des instructions ex§cutab(es, des donn6es, et de {'^tat de ia pile 
d'exdcution de {'application. Ces vaieurs sont uniques pour chaque app{ication 
informatique en cours d'ex^cution et pour chaque type de processeur ou de 
machine virtuelle. 

En pratique, dans I'^tape i) il est prevu d'6tabllr, dans un environnement 
s6curis§, une carte du contexte memoire de Tapplicatlon logicielle authentique 
en cours d'ex^cution, de determiner, en utilisant les vaieurs de cette carte 
memoire, une suite d'instructions de contrdle fomiant certificat ex6cutab{e. 

En pratique, dans I'etape ii), ie dispositif d'acheminement du certificat 
ex^cutabie a destination du terminai hote est loge dans un circuit electronique 
de traitement physiquement separ6 du terminal hdte. 




En pratique, dans I'^tepe II) la recuperation des valeurs du contexte m^moire 
d'ex^cution se fait par lecture des valeurs aux adresses des diffSrentes zones 
de m6molre du terminal h6te. Dans ces zones sont log^es les instructions 
ex^cutabies Intrins^ques a rapplicatiqn^ les valeurs des variables et les valeurs 
5 des references aux, fohctldns'de rappTlcatiorri controler. 

En pratique, a I'etape lii); ' ie reWltaf obtenu ladite suite 

dlinstructions de bontr6le est une signature de i'appllcatipn d verifier. Cette 
signature est calculee par ladite suite d'Instructions de coritrdle qui utilise les 

,10 valeurs du contexte m6moire de I'appllcation logiclelle a verifier en cours 
d'ex6cutlon. De preference, I'appllcatiqh logiclelle comprend des instructions 
pennettant d'lnserer et .>d|executer dans son contexte memoire ladite suite 
d'ihstructions en substituarit^au molns une adresse d'execution d'une Instruction 
de ladte application logicietlei par au moins, I'adresse d'une iristniction de .la 

15 suite dMnstructions de contrdie fbnriantcertincat ex 

,1 i 1 ." . ■ ■ • . ' ■ \ ' ■ ' • 

? Selon une autre realisation, la suite d'instructions de qontroie foirhant certifiqat 
• executable est transportee dans un flux de dohiiees necessaire a I'execution de 
rappllcatjon logicielle a verifier. Pour forcer I'executiori d,e,.la suite d'instructions 

20 dudit certifieat executable, lesdites dprinees utiles sont prealablement- 
protegees par une hriethode de chiffrenient. Le dechiffrement de ces donnees 
est correctement effectue par ladite suite d'instructions de contrdle du certlflcat 
executable si {'application a verifier est une application authentique. SI le 
procede de chiffrement utilise une cie, cette demiere est prpduite par les 

25 instructions de. contrdle avec des valeurS du contexte rnemoire de I'application 
logicielle ^ verifier, valaurs formant signature dej'application logicielle a verifier. 
Les operations pour obteriir la;;cie:de jcfiiffr^ement sont codees dans la suite 
d'instructions du. certifieat executable. 



30 En variante. la methode de protection est sans cie, la suite d'operations pour 
obtenir I'accessibilite des donnees est dans la suite d'instructions de contrdle du 
certifieat executable. 




En pratique, la protection des donnees n^cessaires au fonctionnement de 
I'appllcatlon logicielle d verifier est entreprise dans un envlronnement s6curfs6 
avant que ces donnees ne soient transmises. La m§thode de protection, avec 
ou sans cle, doit Stre reversible. 

Selon encore une autre realisation, dans laquelle I'executlon de Tappllcation 
logicielle fait appel ^ une carte ^ puce ou § tout autre circuit s6curls6 pour 
fonctionner, la suite d'instructions de contrSle est log^e dans la carte d puce (ou 
le circuit securisS) et envoy^e a Tapplicatlon logicielle d verifier, I'application 
logicielle 6tant apte d r6cup6rer et ex^cuter ladrte suite d'instructions de 
contrdle ainsi envoy^e avec les donnees dont elle a besoin pour fonctionner. 

En pratique, I'accds d des donnees transmises par la carte ^ puce (ou le circuit 
s6curis6) dolt §tre n6cessaire d Tapplicatlon logicielle a verifier pour que celle-ci 
se comporte de fagon identlque a une application authentique. 

Selon une autre realisation, a la suite d'une verification negative de I'lntegrite de 
I'application logicielle a verifier, le certificat executable execute des instnjctlons 
faisant appel § des fonctions appartenant a une autre application. 

La pr§sente Invention a §galement pour objet un dispositif de verification de 
rintegrite d'une application logicielle pour la mise en oeuvre du pr§c6de selon 
rinvention. 

Selon une autre caracteristique importante de I'inventlon, le dispositif de 
verification comprend des moyens de traitement aptes ^ determiner au moins 
une suite d'instructions de contrdle formant certificat executable pour 
I'application logicielle, executable par ledit terminal bote au cours de rexecution 
de Tapplication logicielle a verifier, et des moyens de comparaison pour 
comparer le resultat de ['execution du certificat executable sur le compoftement 
de rapplication logicielle it verifier, avec le resultat attendu du comportement 
d'une application authentique, et des moyens de modifier I'executlon de 
I'application logicielle a verifier en fonction du resultat de la comparaison. 
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Selon une r^lisation, le dispositif de verificatipn comprend une carte d puce ou 
tout autre circuit s§curis6 apte k contenir d'une part, la suite d'instructions de 
contrdle formant certrficat executable et d'autre part, une application realisant le 
test de verification. Le. terTninarh6teesf"§q lecteurde carte ^ puce (ou 

d'un moyen de communicatipn avec. le.. circuit secLiris§) et les moyens 
d'ex6cution de rappllcatloh logicielle ^ verifier jspnt agences pour charger et 
executer dans son contexte memoire la suite d'instructions formant certificat. 
L'applicatlon de verification dans la carte a puce ou le circuit securise est 
agencee de fagon a modifier le deroulement nomial de I'execution de 
Tapplication logicielle a verifier si le^ resultat de I'execution de la suite 
d'instructions de contrdle . n'est pas tr^nsriiis, dans des conditions dSfinies 
prealabieriient, § i'applicaitffSn de verification, dans la carte a puce ou du cirquit 
securise, ou si le resultat d^jia verijfication s'ayere negatrf. 

Selpri line variante, le dispositif est apte d fdetemiiher une plursilite de certlficats 
exeputables differents les uris des autres selpn une cadence et/ou cooditjpn 

CllojsiPw: ii ; .' ■ 

En pratique, le terminal hote appartlent au groupe i^orme par ies dispositifs de 
traltement des dohnees, les decodeurs de television numerique, les 
equipements de visualisation de contenus multimedias, les micro-ordinateurs, 
les cartes e puces, les assistants personnels, les consoles de jeux, les 
telephones mobiles pu analogues. 

D'autres caractpristiques et avantages de I'invention.apparaTtront e la lumiere 
de la description detainee ci-apres et des des'sihs d^ns lesquels : 

- la figure 1 est une vue scherfiatique illustrant la verification d'une application 
logicielle dont les dohnees^ utiles ^epntienhertl te certificat executable, selon 
{'invention, et 

- la figure 2 est une vue schematique Illustrant la verification d'une application 
logicielle utillsant une carte a puce selon I'invention. 
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En pratique, les termes «integre» et « authentique » sont id utilises 
indifp§remment pour une application logicielle. 

On entend ici par « certificat executable » une suite d'instructlons de contrdle 
ex6cutables dans le contexle m6molre d'une application logicielle en cours 
d'execution et dont l'ex6cution produit des effets tets que Pexecutlon d'une 
rapplicatlon logicielle ^ verifier, si cette derniere est integre, a un comportement 
identique a celui qui est attendu. 

En reference a la figure 1, I'application logicielle a verifier 1 est embarqu6e 
dans un terminal hote (non represents). 

Par exemple, le temilnal h6te appartient au groupe form§ par les dispositifs de 
traltement des donn6es. les dScodeurs de television numerique, les 
equipements de visualisation de contenus multimedias, les micro-ordinateurs, 
les cartes d puces, les assistants personnels, les consoles de jeux, les 
telephones mobiles ou analogues. 

En pratique, rapplicatlon logicielle a verifier 1 tralte 3 des donnees 
prealablement protegees 2, c'est a dire non traitables par Tapplication a verifier 
tant que des instmctions de controle du certificat executable que I'on decrira 
plus en detail ci-apres n'ont pas authentifiees I'application ^ verifier. Une 
methode pour rendre non accessible ces donn6es consiste a les chiffrer. Toute 
autre methode de protection reversible est envisageable. 

Ces donnees protegees 2 contlennent 7 un certificat executable 4 renfennant 
une suite d'instmctions de contr6le non protegees, qui sont execut6es 5 par 
I'application d verifier 1 . 



En pratique, les Instructions de contrSle du certificat executable 4 sont codees 
dans le langage du processeur du terminal hote. encore appele langage 
machine. En variante. les instructions du certificat executable 4 peuvent aussi 
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etre cod§es dans ie langage d'une machine virtuelle. 6mulant le comportement 
d'un processeur. 

Ces Instructions de contr6le du certlfi(rat executable 4 en langage machine sont 
des structures binalre3-preala6lerTi"^^^^ avant que celles Ici ne 

soienttra.ns.mises§rappllcationlogiciel!ea • 

Les Instructions de contrdle du certiflcat executable 4 sont cholsies de fagon d 
ce que seule une application loglcielle authentlque pulsse les ex^cuter pour 
produire un resultat identlque a celui qui est attendu. Comme 6n le verra plus 
en detail ci-apres, I'absence de dysfonctlonnement de rapplicatlon logiclelle 
, authentlque est obtenu en choisissant une suite d'Instructlons de contrdle de 
telle sorte que I'etat du coritiexte memoire d'une rapplicatlon (oglcielle d verifier 
1 aprfes I'execution de la sliiti d'Iristructlons de contrdle soit identlque arl'etat du 
cont0xte memoire de rappiteation logiclelle avant I'executlon de- la suite : 
d'instructions de contrSle?. V?^ . . , |, ; ; 

Le certiflcat iexecutabje 4 peut aussi etre lnseri§ dans le flot de donnees que 
rapplicatlon 1 est s^ns§e.tralter.' .i.- 

L'insertion de certificats exeputables dans un flpt de donh^es peut correspondre 
au cas oCi i! est necessaire d'authentifier une application de traitement de flux 
multimedia protege, accessible S I'utilisateur a la condition que ce dernier se 
soit acqultte des obligations telles que deflnles par le vendeur des contenus. La 
source du flux multimedia peut dtre un point d'emlssion d'un reseau de 
diffusion, la merho|re perslstante du temilnal hdte, ou encore une unite de 
memoireexhactibledu'tehTilrial hdte. - ' 

Les instructions de eontrdte du-certifi^^^^ 4 sont choisies pour 

calculer 6 une signature 8 de Tapplication ^ controler 1. en utilisant 9 le 
contexte memoire de I'application a controler 1, en cours d'execution. 
L'utilisatlon du contexte memoire par les instmctions de contrdle est realise en 
allant chercher les valeurs de certains symboles (variables, fonctions, 
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instructions ex6cutable...) de Tapplication a verifier en cours d'ex§cution. La 
r6cup6ration de ces valeurs depend entre autre du module m6moire 
Impl6mente dans le processeur du terminal hdte. 

En pratique, la suite d'instructions de contr6le du certificat executable 4 produit 
6 una signature 8 qui depend 9 du contexte memoire de ('application loglcielle S 
verifier 1 et utilise cette signature pour lever la protection 10 des donn§es 
protegees 2. Si I'appllcation logiclelle est authentique, les donn§es 2 sont 
rendues accessibles et leur traitement 3 par I'application logicfelle d verifier 1 
produira un resultat Identique d celui d'une application authentique. 

Dans le cas oCi le certificat executable 4 contenant les Instructions de contr6le 
est ins6r6 dans un flot de donnees, il est n6cessafre de forcer I'application a 
executor ces instructions. Les instructions de contr6le sont alors programm^es 
pour d6chlffrer une partle du flot de donn6es que I'application a v6riffer doit 
traiter. Cela n6cessite un traitement preaiable du flot de donnees par 
chiffrement avant que ce flot ne solt accede, pour traitement, par I'application a 
verifier. L'algorithme de d^chiffrement peut §tre Implements dans les 
instructions de contr6le ou §tre disponible sous forme de fonction impl§mentee 
dans le terminal, et appel6e par les instructions de contrdle. Les cl6s, si 
utilis6es par ralgorithme de dechiffrement, sont calculees par les Instructions de 
contrCle en utilisant des valeurs du contexte mSmoire prSalablement d6flnies de 
I'application en cours d'ex6cutlon. 

En r§f6rence d la figure 2, I'application loglcielle ^ verifier 11 interagrt 12 avec 
un circuit s§curis6 13, de type carte a puce ou analogue. 

La carte a puce 13 transmet 19 un certificat executable 15 contenant des 
instmctions de contrdle qui sont charg6es et executSes 16 par I'application 
loglcielle a verifier 11. Ainsi, pour une application 11 n§cessitant 12 une carte a 
puce 13 pour fonctionner, les Instructions de contrdle 15 sont stockees dans la 
carte a puce 13 et envoyees a I'application a contrdler 11 par le blals du lien 
interactif 12. 



Uapplication a controler 11 utilise 21 pour fonctlonner des donnSes 20 qu'elie 
r^cupere par interaction 12 avec la carte S puce 13. Ces donnees 20 
contiennent 22 le certlflcat executable 1 5. 
5 Les Instnjctions. de xbntrSle du 15, lorsqu'elles sont 

stockees sur la carte S puce 13, sont chargees par Tapplication a controler 11 
de fagon a ce que celie ci les- ex^cutent 16j. selon le principe expose en 
reference a la figure 1 , 

10 Une signature 18 de Tapplication logicielle a verifier est produite 17 par les 
Instructions de controle du certificat executable en utilisant 14 le contexte 
memoire d@ rapplication. lo^icieUe a controler 

i • • " ' • ..?.«:; - : " ' . 

Les Instructions de contrdle^idu. certificat executable interagisSent 19. avec le 
15 circuit securise 13 de fagon a ce la signature. 18 de Tapplication contrdlee 
11 sblf transmisfe S une autfe application, de verification 24 \h§bergee sur la 
carte a puce 13, coh^idere Ici comme un eriyirbnhement securise; Uapplication 
de verification 24 dans la carte a puce maintient pour chaque ^type de 
, processeur et p6ur chaque application a controler, une table de 
20 correspondance entre les instructions, de qontrole executables 15 et les 
resultats attendus. 

Cette table de correspondance permet de verifier 23 la validite de la signature 
calculee par le certificat executable 15. Si le rSsultat de la verification est 
25 nSgatif; rapplication de verification h6bergee dans la carte a puce interagit 12 
avec rapplication , a contr6ler afin de modifier le fonctionnennent de cette 
derni^re. Si la verification Qst positive, Ig cartfe § piuce 13 produit les donn6es 20 
dont rapplicdtion logicielle 11a besoin pourfonctionner 21. 

30 Dans un mode de realisation, les certificats heberges dans la carte S puce ou le 
circuit securise changent selon une cadence ou condition choisie. 




REVENDICATIONS 

1. Proc6d6 de verification de I'integrite d'une application logiclelle executable 
dans un terminal hote, caracterise en ce qu'il comprend les 6tapes suivantes : 

i) detemiiner au moins une suite d'instructions de controle fomnant certificat 
executable (4,15) pour Tappllcation logiclelle, executable par ledit 
terminal hote au cours de I'executlon de I'application logiclelle k verifier 
(1.11), 

ii) sur le terminal h6te, executer Tapplfcation logiclelle a verifier (1,11), 
recevoir le certificat executable (4,15) ainsi determine lors de retape I), et 
executer la suite d'instructions de contr6le dudit certificat executable 
dans le contexte memoire dudit terminal h6te, 

ill) comparer le resultat aInsi obtenu par I'execution des instructions de 
contr6le avec le resultat attendu d'une application logicielle authentique 
et, 

iv) en cas de comparaison positive, continuer le cours de Texecution de 
I'application logicielle ^ verifier (1,11). 

2. Precede selon la revendication 1, dans lequel le terminal hote est equipe 
d'un processeur caracterlse en ce que la suite d'instructions de contrdle formant 
certificat (4, 15) est codee en langage interpretable par ledit processeur du 
terminal hote. 

3. Precede selon la revendication 1, dans lequei le tenninal hdte est equipe 
d'une machine virtuelle apte k emuler un processeur, caracterise en ce que la 
suite d'instructions de controle formant certificat (4, 15) est codee en langage 
interpretable par la machine virtuelle du terminal hdte. 

4. Precede selon Tune des revendications 1 a 3, caracterise en ce que dans 
retape i) il est prevu d'etabllr, dans un environnement securise, une carte du 
contexte memoire de I'application logiclelle authentique en cours d'execution, et 
de determiner, e partiir des valeurs de cette carte memoire, la suite 
d'instructions de contrdle destinee k fomner le certificat executable (4,15). 




5. Proc6de selon Tune des revendications 1 a 4, caracterise en ce que dans 
Tetape ii), le certificat executable (4, 15) a destination du tenminal hdte 6mane 
d'un circuit electronique de traitement physiquement separe du terminal hdte. 

5 • . ■ "^'^ ^ " .: ^ . 

6. Proc6de selon Tune des revendications 1 a 5, caracterise en ce que dans 
Tetape ii) la recuperation des. vaieurs ^Su cp^^ se fait 
par lecture des valeurs aux adresses des different^s zoiies de la memoire du 
terminal Kote, ces zones cpntenant les instructions executables et les donneias 

10 intiinseques ^ rapplication a verifier. 

7- Precede selon Tune deS revendications 1 a 6, caracterise en ce que dans 
Tetape iii), le r^sultat obtenu par rexecution de ladite suite dinstruqtions de . 
contrdle (4,15) produit une.-j$ignature de rapplication k verifier, cette . signature 
15 etant calcuiee par ladite suite d'instructiohs de contrdle (4, 15) qui utilise les '\ 
valeurs du contexte menipire de {'application Ipgicielle ^ verrfler en cours 
' d'execution de Tapplicgtion. ! ' \ '■ \ I 

8. Precede selon Tune des revendications precedentes, qaracterise en ce que • 
20 Tapprication; logicielle comprerid des ipstru^^^ permettant de charger et . 

d'executer dans sa carte de contexte memoire ladite suite d'instructions de 
controle (4, 15) en substituant au moins une adresse d'execution d'une 
Instruction de ladite application loglcielle par au moins une adresse d'instruction 
de la suite d'instructions formant certificat- 

25 ' t . - - 

9. Precede seloti Tune des revendications precedentes, caracterise en ce que 
la suite d'instructions de 'CpntrOle (4, 15) est chbisie de telle sorte que retat du 
contexte memoire d'une rapplication loglcielle apres Texecution de la suite 
d'instructions de controle ^est- Ldentique::et/ou sans modification de I'etat du 

30 contexte memoire de rapplication loglcielle avant Texecution de la suite 
d'instructions de controle. 
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10. Procede selon Tune quelconque des revendications 1 a 9, caracterise en ce 
que la suite d'instructions formant certrficat (4,15) est transportee dans un flux 
de donnees ndcessaire ^ i'execution de Tapplication logicielle d verifier. 

5 11. Proc§de selon Tune quelconque des revendications 1 a 10, caracterise en 
ce que rapplication logicielle a verifier est tout ou partie chiffree, le 
dechiffrement correct de I'applicatlon logicielle etant realise en cas d'Integrite de 
rapplication logicielle a verifier. 

10 12. Dispositif de verification de rint§grit6 d'une application logicielle destin§e a 
Stre ex^cut^e dans un terminal hdte pour la mise en ceuvre du procede selon 
Tune des revendications 1^11, caractSris^ en ce qu'll copiprend des moyens 
de traltement aptes a determiner au moins une suite d'instructfons de contrdle 
(4,15) pour rapplication logicielle (1,11), ex6cutable par ledit terminal hote au 

15 cours de Tex^cutlon de rapplication logicielle, et formant un certificat executable 
de ladite application logicielle, des moyens d'execution pour ex§cuter la suite 
d'instructions formant certificat (4,15) sur le terminal hote au cours de 
rexecution de rapplication logicielle, des moyens de comparaison pour 
comparer le resultat ainsi obtenu par rexecution des instructions de contr6le 

20 avec le resultat attendu d'une application authentique, et des moyens aptes en 
cas de comparaison positive a continuer I'execution de I'applicatlon logicielle k 
verifier (1,11). 

13. Dispositif selon la revendlcation 12, caract§rlse en ce qu'll comprend une 
25 carle a puce ou tout autre circuit s6curjs§ apte d contenir la suite dMnstructions 
de controle formant certificat (4,15), en ce que le terminal h6te est equipe d'un 
lecteur de carte ^ puce ou d'un moyen de communication avec le circuit 
securis6 et en ce que les moyens d'ex6cution de rapplication logicielle sont 
agenc6s pour aller chercher, dans la carte ^ puce ou le circuit securise, la suite 
30 d'instructions formant certificat au cours de rexecution de rapplication logicielle 
^ verifier. 
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14. DIspositif selon la revendication 13, caracl6rlse en ce que le terminal hote 
est apte k renvoyer a la carte d puce ou au circuit s6curis6 la signature produite 
par la suite d'instructions de contrSle, et en ce que la carte d puce ou le circuit 
s^urls6 comprend en outre une application logicielle de verification apte ^ 
valider ou Invallder I'-authenflcite deTapplicatlon logicielle a verifier en fonction 
du r6sultat de la conipat-aison entre |a signature produite par la suite 
d'instructions de cpntrole et une vaieur de la sighature connue et prealablement 
stock^e dan^ la carte a puce ou dans le circuit sdcuiis^. 

15. Dispositif selon la revendication ,14, caract6ris§ en ce qu'en cas de 
comparalson negative, la carte d puce est.apte d modifier le fonctionnement de 
rapplication logicielle a verm^er. 

16. Dispositif selon la revendipatidn.. 14 ou la revendication 15, caract(§ris§ en ce - 
qu'en cas de non transmi^lpn de la signature <ipnfomi6ment a deS;,coridttions 
pr6d§termin§es, la carte ^ -puce est apte.; ^ mbdrfier le forictibrinement de 
rappiication logicielle 3i verifier. \' 1 i, ? 

17. Dispositif selon I'une des revendicafions 12 a 16, caract6ris6 en ce qu'en - 
cas de comparaison negative, le dispositif cpmprend en outre des mbyens ' 
aptes ^ empecher le fonctionnement de I'application logicielle dans le terminal- 
h6te. . , / 

18. Dispositif selon I'une des revendjcations 12 § 17, caract6rise en ce que le 
temiinal h6t^, appartient au groupe forme par les dispositife de traitement des 
donn^es, les fJjScodeurs de television numdrique, les equlpements de 
visualisation de cont^nus/ rhulti^ les cartes d 
puces, les assistante personnels, les consoles de jeux, les telephones mobiles 
ou analogues. 

19. Dispositif selon I'une des revendications 12 ^ 18. caracterise en ce que les 
moyens de traitement sont aptes a determiner une pluralite de certificats 




ex6cutables (4, 15), dlff(§rents les un par rapport aux autres selon une cadence 
et/ou condition choisie. 
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